Saltar al contenido
🛡️ Seguridad QR

¿Qué es el quishing? El phishing que viaja dentro de un código QR

«Quishing» es la mezcla de QR y phishing: un fraude en el que el enlace malicioso no llega como un texto clicable, sino oculto dentro de un código QR. La víctima lo escanea confiando en el contexto —un cartel, un parquímetro, una factura— y acaba en una web que imita la de siempre. Aquí te explicamos cómo funciona, qué han dicho las instituciones y qué puedes hacer si eres tú quien emite los códigos.

Fuentes institucionales: INCIBE y FBI/IC3 Sin sobrepromesas

Explicado con honestidad Anclado a fuentes oficiales Ninguna cifra de proveedor como afirmación GDPR y datos en la UE
Cómo funciona

Por qué un código QR es un buen escondite para un enlace malo

El ataque no es técnicamente sofisticado. Explota tres cosas que un QR tiene «de serie».

Un QR no dice quién lo ha hecho

El cuadrado de píxeles no lleva ningún sello de origen. A simple vista, un código legítimo y una imitación son idénticos: solo se distinguen al abrir el enlace, cuando a menudo ya es tarde.

Esquiva el perímetro de seguridad

El QR mueve el clic del correo corporativo —filtrado— hacia el móvil personal, sin las mismas protecciones. Para muchos filtros, una imagen no es un enlace que analizar.

El contexto hace el trabajo de convencer

Una pegatina sobre un parquímetro, un cartel en la pared o una factura con el logo correcto dan la confianza que el atacante necesita. La víctima no duda del código porque confía en el entorno.

Qué dicen las instituciones

No es una alarma de proveedores: lo documentan los organismos oficiales

Para los materiales públicos usamos solo fuentes institucionales. Las cifras de proveedores de seguridad las dejamos como contexto, nunca como afirmación.

INCIBE (España)

El Instituto Nacional de Ciberseguridad ha alertado del fraude con códigos QR y ha documentado su vector más común: pegatinas falsas colocadas sobre QR legítimos de parquímetros, terrazas y cargadores eléctricos, suplantando webs de ayuntamientos y pasarelas de pago.

INCIBE — códigos QR fraudulentos ↗

FBI / IC3 (EE. UU.)

El centro de denuncias de delitos en internet del FBI (IC3) ha emitido avisos oficiales sobre estafas con códigos QR, como los paquetes no solicitados con un QR en la caja. El quishing aparece incluso en operaciones atribuidas a actores estatales.

FBI IC3 — aviso público ↗

GS1 (estándares)

El organismo de los estándares de códigos de barras y QR lo dice claro: la confianza de un código no viene del cuadrado de píxeles, sino del dominio de marca que hay detrás. Es justo la pieza que el quishing intenta falsear.

GS1 Digital Link ↗

Honestidad

Qué impide —y qué no— un QR firmado

Ninguna tecnología «detiene el quishing» del todo, y quien te lo prometa te está vendiendo humo. Merece la pena decir exactamente qué se consigue.

La firma no impide el ataque

Un estafador siempre podrá imprimir su propio QR hacia su propio dominio. Nada de lo que hagas con tus códigos le impide crear otros nuevos.

La firma impide que te suplanten

Lo que sí consigues: que cualquiera pueda comprobar que un código lo ha emitido tu marca. Una imitación sin tu firma se delata al verificarla.

El consumidor casi no verifica

La investigación es consistente: la mayoría de usuarios no comprueban nada antes de escanear. Por eso el valor no es que millones de ciudadanos verifiquen, sino que se pueda verificar: da respuesta al incidente y protege tu reputación.

Es una capa de confianza de marca, no una herramienta de ciberseguridad que detecte amenazas como un antivirus o un filtro de correo. La promesa exacta es autenticidad de emisor (este código lo emitió esta organización) e integridad de destino (el enlace vive en el dominio de la organización y no caducará hacia manos de terceros).

Si eres tú quien emite QR

Tres capas para demostrar que un código es tuyo

1

Dominio propio

Que todos tus QR apunten a tu dominio, no a un acortador genérico. El usuario ve qr.tumarca.com, no un bit.ly cualquiera. Es la buena práctica que recomienda GS1.

2

Firma de emisor

Cada código lleva una firma criptográfica que solo tu clave puede generar. La clave privada no sale de tu navegador; la pública se publica para que cualquiera pueda comprobarla.

3

Verificador público

Un verificador web abierto: se pega una URL o se enfoca el código con la cámara y la comprobación se hace en el propio dispositivo, sin instalar nada ni abrir cuenta.

Prueba el verificador → Cómo funciona el QR firmado

Preguntas frecuentes

Dudas habituales sobre el quishing

¿Qué significa quishing?

Es la contracción de QR y phishing: un fraude en el que el enlace malicioso llega oculto dentro de un código QR en lugar de un enlace de texto. La víctima escanea el código y acaba en una web falsa que le pide datos o un pago.

¿Por qué el quishing esquiva los filtros de correo?

Un código QR es una imagen, no un enlace legible. Muchos filtros de correo no analizan su destino, y el escaneo suele producirse en el móvil personal, fuera del perímetro de seguridad de la empresa.

¿Un QR firmado detiene el quishing?

No del todo, y sería deshonesto prometerlo: un atacante siempre puede imprimir su propio QR hacia su propio dominio. Lo que hace la firma es impedir que el ataque se haga pasar por ti: cualquiera puede comprobar que un código lo ha emitido tu marca y no un imitador.

¿Qué han dicho INCIBE y el FBI sobre el quishing?

INCIBE ha documentado el fraude con códigos QR en España, sobre todo pegatinas falsas colocadas sobre QR legítimos de parquímetros, terrazas y cargadores. El FBI, a través de su centro IC3, ha publicado avisos oficiales sobre estafas que utilizan códigos QR.

Sigue leyendo

Clúster de seguridad QR

Profundiza en cada pieza del problema y de la respuesta.

Tus QR, firmados y bajo tu dominio

No puedes evitar que alguien imprima su propio QR. Sí puedes dar a todo el mundo una forma de comprobar que los tuyos son tuyos. Esa es la capa de confianza que Qmarque añade a cada código.